10억 개가 넘는 기기에 사용되는 중국 제조업체 Espressif의 ESP32 마이크로칩에서 문서화되지 않은 백도어가 발견되었습니다 . 공격에 사용될 수 있습니다.
문서화되지 않은 명령을 사용하면 신뢰할 수 있는 장치를 스푸핑하고, 데이터에 대한 무단 액세스를 얻고, 네트워크의 다른 장치로 마이그레이션하고, 잠재적으로 장기적인 지속성을 확립할 수 있습니다.
이 백도어는 Tarlogic Security 소속의 스페인 연구원인 미구엘 타라스코 아쿠냐와 안토니오 바스케스 블랑코가 발견했으며, 두 사람은 마드리드에서 열린 RootedCON에서 연구 결과를 발표했습니다.
“Tarlogic Security는 WiFi 및 Bluetooth 연결을 제공하고 수백만 대의 대중적 IoT 기기에 존재하는 마이크로컨트롤러인 ESP32에서 백도어를 발견했습니다. 해당 회사는 성명을 통해 “이 백도어를 악용하면 공격자는 사칭 공격을 수행하고 코드 감사 제어를 우회하면서 휴대전화, 컴퓨터, 스마트 잠금 장치 또는 의료 장비와 같은 민감한 장치를 영구적으로 감염시킬 수 있습니다.”라고 밝혔습니다.
연구원들은 ESP32가 IoT 기기의 Wi-Fi + Bluetooth 연결에 세계에서 가장 널리 사용되는 칩 중 하나로 여겨진다고 경고했습니다. RootedCON에서 진행한 프레젠테이션에서 그들은 Bluetooth 보안 연구에 대한 관심이 감소했지만 프로토콜이나 구현의 보안이 강화되었기 때문이 아니라고 설명했습니다. 작년에 확인된 대부분의 공격은 작동하는 도구가 없었고, 일반적인 하드웨어에서는 작동하지 않았으며, 현대 시스템과 크게 호환되지 않는 오래되거나 지원되지 않는 도구를 사용했습니다.
Tarlogic은 하드웨어에 독립적이고 크로스 플랫폼인 새로운 C 기반 USB Bluetooth 드라이버를 개발하여 OS별 API를 사용하지 않고도 하드웨어에 직접 액세스할 수 있도록 했습니다.
Tarlogic은 Bluetooth 트래픽에 직접 액세스할 수 있는 새로운 도구를 사용하여 ESP32 펌웨어에서 Bluetooth 기능에 대한 저수준 제어를 허용하는 숨겨진 공급업체 명령(명령 코드 0x3F)을 발견했습니다. 연구원들은 메모리 조작(RAM 및 플래시 메모리 읽기/쓰기), MAC 주소 스푸핑, LMP/LLCP 패킷 삽입 등에 사용할 수 있는 문서화되지 않은 명령을 총 29개 식별했습니다.
이러한 명령으로 인해 발생하는 위험에는 OEM 수준의 악의적 구현과 공급망 공격이 포함됩니다.
Bluetooth 스택이 장치에서 HCI 명령을 처리하는 방식에 따라 악성 펌웨어나 불법 Bluetooth 연결을 통한 원격 백도어 악용이 가능합니다.
특히 공격자가 이미 루트 액세스 권한을 가지고 있거나, 악성 소프트웨어를 심었거나, 낮은 수준의 액세스가 가능한 악성 업데이트를 장치에 설치한 경우에 그렇습니다. 그러나 일반적으로 장치의 USB나 UART 인터페이스에 물리적으로 접근하는 것은 더 위험하고 현실적인 공격 시나리오로 보입니다.
연구원들은 “ESP32를 통해 IoT 기기를 손상시킬 수 있는 상황에서는 ESP 메모리 내부에 APT를 숨기고 다른 기기에 대해 Bluetooth(또는 Wi-Fi) 공격을 수행하면서 동시에 Wi-Fi/Bluetooth를 통해 손상된 기기를 제어할 수 있다”고 설명했습니다.